Знакомство с решениями аудита Microsoft Purview

  • 6 мин

Решения для аудита Microsoft Purview — это интегрированное решение, помогающее организациям эффективно реагировать на ряд событий, в том числе:

  • события, связанные с угрозой безопасности;
  • судебно-медицинские расследования;
  • внутренние расследования;
  • соблюдение обязательств по соответствию требованиям.

Тысячи операций, выполняемых пользователями и администраторами в десятках служб и решений Microsoft 365, записываются и сохраняются в едином журнале аудита организации. Записи аудита для этих событий доступны для поиска службе безопасности, ИТ-администраторам, командам по управлению внутренними рисками и экспертам в области законодательства и соответствия требованиям в организации. Таким образом обеспечивается информированность о происходящем во всей организации Microsoft 365.

Решения аудита Microsoft Purview

Microsoft Purview предоставляет два решения для аудита: Аудит (стандарт) и Аудит (премиум).

Схема ключевых возможностей аудита (стандарт) и аудита (премиум).

Аудит (стандарт)

Аудит Microsoft Purview (стандарт) дает возможность регистрировать действия, подлежащие аудиту, и выполнять их поиск. Это также позволяет организации проводить судебно-медицинские, ИТ-исследования, расследования соответствия требованиям и юридические расследования.

  • Включено по умолчанию. Аудит (стандарт) включен по умолчанию для всех организаций с соответствующей подпиской. Это означает, что действия, подлежащие аудиту, записываются и доступны для поиска. Единственная настройка, которая необходима, — назначить нужные разрешения для доступа к средству поиска в журнале аудита (и соответствующему командлету) и обеспечить назначение пользователям соответствующей лицензии для использования возможностей Аудита Microsoft Purview (премиум).

  • Тысячи событий аудита, доступных для поиска. Поиск можно выполнять по широкому диапазону действий, подлежащих аудиту, в большинстве служб Microsoft 365 в вашей организации. Частичный список действий, доступных для поиска, см. в статье Действия, подлежащие аудиту. Список служб и возможностей, поддерживающих аудит действий, см. в статье Тип записи в журнале аудита.

  • Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview. Для поиска записей аудита используйте средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview. Поиск можно выполнять по следующим критериям:

    • конкретные действия
    • действия, выполненные определенными пользователями
    • действия, произошедшие в диапазоне дат

    Снимок экрана: Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview.

  • Командлет Search-UnifiedAuditLog. Для поиска событий аудита или для использования в сценарии можно также использовать командлет Search-UnifiedAuditLog в Exchange Online PowerShell (базовый командлет средства поиска). Дополнительные сведения см. в статьях:

  • Экспорт записей аудита в CSV-файл. После поиска в журнале аудита на портале соответствия требованиям Microsoft Purview записи аудита, возвращенные поиском, можно экспортировать в CSV-файл. Это позволяет пользоваться сортировкой и фильтрацией Microsoft Excel по разным свойствам записей аудита. Кроме того, можно использовать функции преобразования Power Query для Excel для выделения каждого свойства объекта JSON в столбце AuditData в отдельный столбец. Это позволяет эффективно просматривать и сравнивать схожие данные для разных событий.

  • Доступ к журналам аудита с помощью API действий управления Office 365. Третий метод получения записей аудита и доступа к ним — использование API действий управления Office 365. Этот API позволяет организациям хранить данные аудита в течение более длительных периодов, чем 180 дней по умолчанию. Он также позволяет импортировать данные аудита в решение SIEM. Дополнительные сведения см. в статье Справочник по API действий управления Office 365.

  • 180-дневное хранение журнала аудита. Если проверяемое действие выполняется пользователем или администратором, выполняется создание записи аудита, которая сохраняется в журнале аудита для организации. В Аудит Microsoft Purview (стандарт) записи хранятся в течение 180 дней. Таким образом, организации могут искать действия, выполненные в течение последних трех месяцев.

Аудит (премиум)

Аудит (премиум), построенный на возможностях Аудита (стандарт), включает политики хранения журнала аудита, более длительный период хранения записей аудита, важные события с высоким значением и доступ с более высокой пропускной способностью к API действий управления Office 365.

  • Политики хранения журнала аудита. Аудит (премиум) позволяет организациям создавать настраиваемые политики хранения журнала аудита для хранения записей аудита в течение более длительных периодов времени — до одного года (до 10 лет для пользователей с обязательной лицензией на надстройку). Организации могут создавать политики хранения журналов для хранения записей аудита на основе следующих условий:

    • служба, в которой выполнялись проверяемые действия;
    • конкретные действия, подлежащие аудиту;
    • пользователь, выполнивший действие, подлежащее аудиту.

  • Более длительный период хранения записей аудита. Записи аудита Exchange, SharePoint и Microsoft Entra по умолчанию хранятся в течение одного года. Записи аудита для всех остальных действий по умолчанию хранятся в течение 180 дней. Аудит (премиум) позволяет организации настройку более длительных периодов хранения с помощью политики хранения журнала аудита.

  • Критически важные и высокоценные события аудита (премиум). Записи аудита для критически важных событий могут помочь организации провести судебно-медицинские исследования и расследования соответствия требованиям. Благодаря записям становятся видимы такие событий, как:

    • Обращения к элементам почты.
    • Ответы на элементы электронной почты и их пересылка.
    • Факт поиска в Exchange Online и SharePoint Online и цель поиска.

    Эти важные события помогают организациям расследовать возможные нарушения безопасности и определять масштаб угрозы.

  • Более высокая пропускная способность для API действий управления Office 365. Аудит (премиум) предоставляет организациям большую пропускную способность для доступа к журналам аудита с помощью API действий управления Office 365. Всем организациям, имеющим лицензию на аудит (стандарт) или аудит (премиум), изначально выделяется базовый план в 2000 запросов в минуту. Однако это ограничение динамически увеличивается в зависимости от количества рабочих мест в организации и подписки на лицензирование. В результате в организациях с Аудитом (премиум) пропускная способность примерно в два раза больше, чем в организациях с Аудитом (стандарт).

Аудит Microsoft Purview (премиум) более подробно рассматривается в следующем модуле.

Сравнение основных возможностей

В приведенной ниже таблице сравниваются основные возможности, доступные для Аудита (стандарт) и Аудита (премиум). Все функции Аудита (стандарт) включены в Аудит (премиум).

Возможность Аудит (стандарт) Аудит (Премиум)
Включено по умолчанию X X
Тысячи событий аудита, доступных для поиска X X
Средство поиска в журнале аудита на портале соответствия требованиям Microsoft Purview. X X
Командлет Search-UnifiedAuditLog X X
Экспорт записей аудита в CSV-файл X X
Доступ к журналам аудита с помощью API действий управления Office 365 (1) X X
180-дневное хранение журнала аудита X X
Годичный период хранения журналов аудита X
10-летний период хранения журналов аудита (2) X
Политики хранения журнала аудита X
Важные события с высоким значением X

Сноски:

(1) Аудит (премиум) предоставляет доступ с более высокой пропускной способностью к API действий управления Office 365, обеспечивая ускоренный доступ к данным аудита.

(2) Кроме необходимых лицензий для Аудита (премиум), описанных в следующем разделе, для 10-летнего периода хранения журналов аудита пользователю необходимо назначить дополнительную лицензию.

Проверка знаний

Выберите лучший ответ на каждый из приведенных ниже вопросов.

Проверьте свои знания

1.

Как долго в Аудит Microsoft Purview (стандарт) хранятся записи в журнале аудита?